Tại sao các cơ quan chính phủ Ba Lan và Ukraine lại trở thành mục tiêu ưu tiên của tin tặc quốc gia Belarus? Câu trả lời đã được hé lộ qua chiến dịch tấn công mới nhất của nhóm hacker 'FrostyNeighbor'. Những kẻ tấn công này không chỉ đơn thuần gửi email lừa đảo hàng loạt, mà đã phát triển một hệ thống fingerprinting tinh vi để nhận dạng chính xác từng mục tiêu trước khi triển khai tấn công spear-phishing nhằm mục đích gián điệp. Đây là minh chứng rõ ràng cho thấy các hoạt động tấn công mạng quốc gia đang ngày càng được tinh chỉnh và chuyên nghiệp hóa.

Belarus - Lá bài địa chính trị trong không gian mạng

FrostyNeighbor không phải là nhóm hacker thông thường. Đây là một Advanced Persistent Threat (APT) - nhóm tấn công bền vững nâng cao được cho là hoạt động dưới sự bảo trợ của nhà nước Belarus. Sự xuất hiện của họ trong cuộc xung đột giữa Nga và Ukraine không phải ngẫu nhiên, khi Belarus đã nhiều lần thể hiện lập trường ủng hộ Moscow. Chúng tôi cho rằng đây là phần của chiến lược tình báo mạng rộng lớn hơn, nhằm thu thập thông tin nhạy cảm từ các cơ quan chính phủ của hai quốc gia láng giềng.

Điều đáng chú ý là nhóm này đã chọn Ba Lan - một thành viên NATO và EU - làm mục tiêu tấn công. Việc này cho thấy mức độ táo bạo và tham vọng của chiến dịch gián điệp mạng. Ba Lan hiện đang đóng vai trò then chốt trong việc hỗ trợ Ukraine, từ viện trợ quân sự đến tiếp nhận người tị nạn. Thông tin từ các cơ quan chính phủ Ba Lan có thể cung cấp cho Belarus và đồng minh cái nhìn sâu sắc về chiến lược của phương Tây.

Kỹ thuật fingerprinting - Vũ khí bí mật của FrostyNeighbor

Fingerprinting trong bối cảnh an ninh mạng là kỹ thuật thu thập thông tin đặc trưng của hệ thống mục tiêu để nhận dạng và phân loại. FrostyNeighbor đã phát triển một phương pháp fingerprinting độc đáo, cho phép họ xác định chính xác loại hệ thống, phần mềm và thậm chí cả vị trí địa lý của nạn nhân trước khi gửi payload độc hại. Đây không phải là tấn công 'phun súng máy' mà là 'bắn tỉa' có mục tiêu cụ thể.

Quy trình tấn công của nhóm này diễn ra theo nhiều giai đoạn phức tạp. Đầu tiên, họ tiến hành do thám mục tiêu thông qua các kênh mở như mạng xã hội, website chính thức và cơ sở dữ liệu công khai. Sau đó, kỹ thuật fingerprinting được triển khai để thu thập dấu vết kỹ thuật của hệ thống. Cuối cùng, email spear-phishing được thiết kế riêng biệt cho từng mục tiêu, chứa các tài liệu đính kèm hoặc liên kết độc hại phù hợp với đặc điểm kỹ thuật đã được xác định trước đó.

Tác động lan tỏa và mối đe dọa toàn cầu

Chiến dịch của FrostyNeighbor không chỉ ảnh hưởng đến Ba Lan và Ukraine mà còn tạo ra tiền lệ nguy hiểm cho cộng đồng quốc tế. Chúng tôi đánh giá rằng thông tin nhạy cảm từ các cơ quan chính phủ có thể bị khai thác để phục vụ các mục đích địa chính trị, từ can thiệp bầu cử đến làm suy yếu liên minh quốc tế. Kinh nghiệm từ các cuộc tấn công APT trước đây cho thấy, một khi tin tặc đã xâm nhập thành công vào hệ thống chính phủ, họ có thể duy trì quyền truy cập trong nhiều năm mà không bị phát hiện.

Đối với Việt Nam, mặc dù không nằm trong mục tiêu trực tiếp của chiến dịch này, nhưng các cơ quan nhà nước và doanh nghiệp trong nước cần rút ra bài học quý giá. Theo báo cáo của Cục An toàn thông tin, Việt Nam đã ghi nhận hàng nghìn cuộc tấn công mạng vào các hệ thống quan trọng chỉ trong năm 2023. Kỹ thuật fingerprinting của FrostyNeighbor có thể được các nhóm tấn công khác học hỏi và áp dụng.

Lá chắn bảo vệ - Hướng dẫn phòng chống cụ thể

Các tổ chức Việt Nam cần triển khai ngay các biện pháp phòng chống multi-layered (đa lớp) để đối phó với loại tấn công tinh vi này. Đầu tiên, nâng cấp hệ thống email security gateway với khả năng phát hiện advanced threats và sandbox analysis. Thứ hai, triển khai Zero Trust Network Access (ZTNA) - mô hình không tin tưởng bất kỳ ai cho đến khi được xác minh. Thứ ba, thực hiện định kỳ security awareness training cho nhân viên, đặc biệt tập trung vào nhận diện email spear-phishing.

Về mặt kỹ thuật, các tổ chức nên cấu hình Web Application Firewall (WAF) để chặn các attempt fingerprinting, enable advanced logging và monitoring để phát hiện các hoạt động bất thường. Đồng thời, xây dựng incident response plan chi tiết và thực hiện drill thường xuyên. Chúng tôi khuyến nghị các cơ quan nhà nước Việt Nam nên tăng cường hợp tác với các đơn vị an ninh mạng chuyên nghiệp để có thể ứng phó kịp thời với các mối đe dọa APT ngày càng tinh vi.